Open webportaal SupportContact
Signhost logoSignhost logo
Inloggen

Wat is een Qualified Website Authentication Certificate (QWAC)?

Een Qualified Website Authentication Certificate (QWAC), ook wel een gekwalificeerd certificaat genoemd, is een SSL/TLS-certificaat dat bevestigt dat een website wordt beheerd door een betrouwbare entiteit. Het verifieert de identiteit van deze juridische entiteit en zorgt tevens voor een beveiligde communicatie tussen gebruikers en de website. 

Reden voor het gebruik van een QWAC

QWAC’s worden ingezet om te voorkomen dat hackers de informatie die op een website wordt gedeeld kunnen onderscheppen. Je kunt hierbij denken aan persoonlijke gegevens en creditcard-informatie. Het gebruik van een QWAC zorgt ervoor dat bedrijven de wettelijke vereisten nakomen voor veilige online transacties in de EU, zoals de eIDAS 2.0 en de Europese wet voor het betalingsverkeer van consumenten en bedrijven (Payment Services Directive / PSD2).

Belangrijke kenmerken

Uitgever

Een Qualified Trust Service Provider (QTSP) verstrekt het QWAC. Dit certificaat bevat de naam van de uitgever en bijbehorende details, zoals de wettelijke status en contactinformatie. Het certificaat wordt ondertekend met de privésleutel, om echtheid te garanderen. 

Certificaat-details

Een QWAC bevat de volgende details:

  • Adres, wettelijke naam, domeinnamen en alternatieve titels van de organisatie die het certificaat ontvangt
  • De geldigheidsduur; start- en einddatum
  • Het unieke serie/registratienummer van het certificaat
  • Het specifieke gebruik van de publieke sleutel
  • Verklaringen die bevestigen dat alle regels worden nageleef, die staan in de eIDAS-verordening[1]
  • Bronnen voor het controleren van status van het certificaat in real-time en het downloaden ervan

Encryptie-technologie

QWAC’s gebruiken onderstaande soorten encryptie:

  • TLS/SSL-protocol voor het versleutelen van gegevens tussen gebruikers en websites.
  • Public Key Infrastructure (PKI) voor het genereren van een publiek-privé sleutelpaar. De publieke sleutel is opgenomen in het certificaat, terwijl de privésleutel in het bezit is van de QTSP.
  • Encryptie-algoritmes, zoals SHA-2 voor hashing en RSA voor het uitwisselen van sleutels.

Regelgevend kader

QWAC’s moet zich houden aan de eIDAS-verordening, waarin de rol van QTSP’s staat beschreven evenals de vereisten voor het uitgeven en beheren van digitale certificaten. De PSD2-richtlijnen verplichten daarnaast een veilige communicatie en authenticatie voor alle betaaldiensten.

Tenslotte staan in de European Telecommunications Standards Institute (ETSI) de vereisten voor het inzetten van QWAC’s. 

He een QWAC werkt

  • Een organisatie vraagt een QWAC aan bij een QTSP die erkend is volgens de eIDAS-voorschriften.
  • De QTSP voert de noodzakelijke verificatie -procedures uit, om er zeker van te zijn dat de identiteit van de entiteit klopt.
  • Nadat de identiteit van de organisatie is geverifieerd, geeft de QTSP het certificaat uit. Inclusief informatie over de entiteit en het certificaat.
  • De ontvangende partij installeert het certificaat op hun server, waaronder TLS/SSL-protocollen voor een versleutelde gegevensuitwisseling.
  • Gebruikers die de website benaderen zien een slotje in hun browser, dat aangeeft dat de identiteit van de website is geverifieerd en de communicatie beveiligd is.

Het belang van een QWAC

  • Veiligheid: Het integreren van robuuste encryptie en authenticatie technologieën om gevoelige informatie tijdens online overdrachten te beschermen.
  • Vertrouwen: Het opbouwen van vertrouwen bij gebruikers, door het garanderen van veilige online transacties.
  • Compliance: Het voldoen aan de regels van de eIDAS, wat verplicht is voor bepaalde online diensten in de EU. 

Toepassingen

  • Overheidswebsites: Inwoners ervan geruststellen dat ze te maken hebben met de officiële site van de overheidsinstantie en het aanbieden van een beveiligde toegang voor publieke online diensten.
  • Financiële instellingen: Het beveiligen van transacties en de communicatie, waardoor de kans op fraude en identiteitsdiefstal wordt geminimaliseerd.
  • E-commerce: Het bieden van veilige transacties en het beschermen van betaalgegevens van klanten, om toegang door onbevoegden en datalekken tegen te houden.
  • Gezondheidszorg: Het beschermen van medische dossiers en het zorgen voor een beveiligde communicatie tussen zorgaanbieders en patiënten.

*Disclaimer: Deze content is geen juridisch advies. De geschiktheid, afdwingbaarheid of toelaatbaarheid van elektronische documenten zal waarschijnlijk afhangen van vele factoren, zoals het land of de staat waar u opereert, het land of de staat waar het elektronische document zal worden verspreid, en het type elektronisch document in kwestie. Raadpleeg een passende juridische adviseur om mogelijke juridische implicaties en vragen met betrekking tot het gebruik van elektronische documenten te analyseren.